[12/09/2022] El lenguaje de programación Go de Google ha añadido soporte para la gestión de vulnerabilidades, que los desarrolladores del proyecto dijeron que era un paso inicial para ayudar a los desarrolladores de Go a conocer las vulnerabilidades conocidas que podrían afectarles.
En una entrada del blog el 6 de septiembre, el equipo de seguridad de Go dio una visión general del proyecto de gestión de vulnerabilidades de Go, anclado por la base de datos de vulnerabilidades de Go, que contiene datos sobre las vulnerabilidades en paquetes importables en módulos públicos de Go. La base de datos, que está comisariada por el equipo de seguridad, respalda las herramientas de Go que analizarán un código base y sacarán a la luz las vulnerabilidades conocidas. Estas herramientas solo mostrarán las vulnerabilidades en las funciones a las que el código del desarrollador llama realmente, reduciendo así el ruido en los resultados, señaló el equipo de seguridad.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
Los datos de vulnerabilidad de la base de datos proceden de fuentes existentes, como los CVE y los GHSA, y de informes directos de los encargados de mantener los paquetes de Go. Esta información es revisada por el equipo de seguridad de Go y añadida a la base de datos. El equipo anima a los mantenedores de paquetes a contribuir con información sobre las vulnerabilidades públicas de sus proyectos, y a actualizar la información existente sobre las vulnerabilidades de los paquetes Go.
Un nuevo comando govulnulcheck proporciona un mecanismo poco ruidoso para que los usuarios de Go conozcan las vulnerabilidades. La herramienta analiza una base de código y hace aflorar las vulnerabilidades que podrían afectar a un proyecto, basándose en qué funciones del código llaman transitoriamente a funciones vulnerables. Además, la detección de vulnerabilidades se ha integrado en herramientas y servicios existentes de Go, como el sitio de descubrimiento de paquetes de Go.
El proyecto de gestión de vulnerabilidades de Go sigue en desarrollo activo; el equipo de seguridad de Go advierte a los usuarios que esperen algunas limitaciones y errores. Se anima a los desarrolladores de Go a que contribuyan al proyecto y aporten sus comentarios. También pueden realizar una encuesta sobre el esfuerzo.
Basado en el artículo de Paul Krill (InfoWorld) y editado por CIO Perú